7
Conficker und Terminal Server
Moin Moin
Bei einem 2008R2 TS tritt an Clients, die unter XPembedded auf laufen auf, das angesteckte USB.Sticks sich den Conficker Trojaner einfangen. Irgendwo läuft er und/oder irgendwo ist eine Lücke. Auf dem Server selber findet weder der Installierte AV, noch diverses andere Scanner wie Stinger & Co einen Wurm. Auch manuell sind keine Spuren sichtbar.
Frage: kann es sein, das der Wurm nur in einem Benutzerprofil läuft, das Gesamtsystem aber nicht befallen ist? Der Server ist Patchmässig auf den aktuellen Stand und die Benutzer sind halt nur Benutzer und haben keine erweiterten Rechte.
Ist es möglich, das der Remotdesktopclient auf dem XPembedded einen angesteckten USB-Stick so im Netzwerk erreichbar macht, das er von einem anderen System aus infiziert werden kann? Es sind zwar auf den Clients administrative Freigaben vorhanden, aber der User unter dem der RDP-Client läuft hat keine Admin-Rechte und der Administrator ist kennwortgeschützt.
Für ein paar Tips im konkreten Fall wäre ich dankbar.
Gruß
Frage: kann es sein, das der Wurm nur in einem Benutzerprofil läuft, das Gesamtsystem aber nicht befallen ist? Der Server ist Patchmässig auf den aktuellen Stand und die Benutzer sind halt nur Benutzer und haben keine erweiterten Rechte.
Ist es möglich, das der Remotdesktopclient auf dem XPembedded einen angesteckten USB-Stick so im Netzwerk erreichbar macht, das er von einem anderen System aus infiziert werden kann? Es sind zwar auf den Clients administrative Freigaben vorhanden, aber der User unter dem der RDP-Client läuft hat keine Admin-Rechte und der Administrator ist kennwortgeschützt.
Für ein paar Tips im konkreten Fall wäre ich dankbar.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 183000
Url: https://administrator.de/contentid/183000
Printed on: April 26, 2024 at 18:04 o'clock
7 Comments
Latest comment
Moin,
hast du schoneinmal versucht den Server mit der neuesten Avira CD zu scannen ?
Gruß
Ice
hast du schoneinmal versucht den Server mit der neuesten Avira CD zu scannen ?
Gruß
Ice
Moin,
ist den auf den XPE Kisten ein Virenscanner installiert? Oder sind die zumindest auf den aktuellen Stand druchgepatcht?
IIRC verbreitet sich Conficker neben USB auch über eine Lücke im RPC - und befällt somit auch XPE Systeme. Nach einen Neustart ist das System zwar wieder sauber, wird aber i.d.R. von seinen "Nachbarn" einfach neu infiziert.
lg,
Slainte
ist den auf den XPE Kisten ein Virenscanner installiert? Oder sind die zumindest auf den aktuellen Stand druchgepatcht?
IIRC verbreitet sich Conficker neben USB auch über eine Lücke im RPC - und befällt somit auch XPE Systeme. Nach einen Neustart ist das System zwar wieder sauber, wird aber i.d.R. von seinen "Nachbarn" einfach neu infiziert.
lg,
Slainte
Hi,
nimm mal das KK-Tool (Kaspersky); das half mir damals am meisten!
Prüfen, reinigen und danach patchen. Ist n fieser Möp!
teuteuteu
ravers
nimm mal das KK-Tool (Kaspersky); das half mir damals am meisten!
Prüfen, reinigen und danach patchen. Ist n fieser Möp!
teuteuteu
ravers
Mahlzeit,
ich hatte mit dem Mcaffee ConTest gearbeitet und war auch sehr zufriden,
aber wie ALLE Vorredner schon geschrieben haben:
DIe PC´s befallen sich regelmäßig untereinander selbst neu.
Meine Systeme (XP und ganz wenige W7) waren komplett durchgepatched, angeblich sogar conficker-sicher, aber das war nur wunschdenken.
Die W7-Rechner hat es damals (so fern ich mich noch richtig erinnere) nicht oder nur vereinzelt getroffen (ich hatte damals aber auch höchstens ein dutzend.
AV-Lösung gab es damals noch nicht.
Und das ganze ist jetzt gut zwei Jahre her.
Gruß
Carsten
ich hatte mit dem Mcaffee ConTest gearbeitet und war auch sehr zufriden,
aber wie ALLE Vorredner schon geschrieben haben:
DIe PC´s befallen sich regelmäßig untereinander selbst neu.
Meine Systeme (XP und ganz wenige W7) waren komplett durchgepatched, angeblich sogar conficker-sicher, aber das war nur wunschdenken.
Die W7-Rechner hat es damals (so fern ich mich noch richtig erinnere) nicht oder nur vereinzelt getroffen (ich hatte damals aber auch höchstens ein dutzend.
AV-Lösung gab es damals noch nicht.
Und das ganze ist jetzt gut zwei Jahre her.
Gruß
Carsten
Den Server habe ich u.a. auch mit Avira gescannt und Allem was in Reichweite ist. Manuell hinterlässt er ja auch sichtbar Dinge, die man aus vielen Removalanleitungen entnehmen kann. Nix. Ich denke nicht, das es der Server ist.
Die XPe Systeme sind nicht durchgepatcht, haben nur einen ollen Geode drinn und zwischen 1 und 2GB Flash
Kann sich der Wurm auch in einer Benutzersitzung auf dem TS installieren? Der hätte ja dann gefunden werden müssen, aber ich musstraue AV-Software, wenn sie nix finden. In den letzten Wochen hatte ein System mit dem Ucash-Mist, der offline weder von Kaspersky, noch Avira, AVG und Symantec EndpointSec. 12 gefunden wurde.
Die XPe Systeme sind nicht durchgepatcht, haben nur einen ollen Geode drinn und zwischen 1 und 2GB Flash
Kann sich der Wurm auch in einer Benutzersitzung auf dem TS installieren? Der hätte ja dann gefunden werden müssen, aber ich musstraue AV-Software, wenn sie nix finden. In den letzten Wochen hatte ein System mit dem Ucash-Mist, der offline weder von Kaspersky, noch Avira, AVG und Symantec EndpointSec. 12 gefunden wurde.
Die XPe Systeme sind nicht durchgepatcht,
Das ist dein Problem, glaub mir.
Ich glaube auch das es das Problem ist. Ich habe auch davon abgeraten auf der XPembedded Schiene zu bleiben. Für ein normales XP haben die Geräte keinen Platz und dies sind alle mit Images vom Hersteller neu installiert worden, wobei es schon problematisch war diese Images zu bekommen.
Einfach mal Windowsupdate laufen lassen ist wohl auch nicht so einfach möglich:
http://blogs.msdn.com/b/embedded/archive/2007/04/04/why-can-t-i-use-win ...
Ich würde ja die XPe Systeme ersetzen. Geht aber wegen kosten nicht. Das einzige was möglich wäre die bezüglich des Trojaner bekannten Updates einpielen, schauen, ob an der Maschine noch Infektionen auftreten und dann ausrollen.
Alternativ wäre irgendein Linuxoides Thinclientsystem auf den Maschinen zu installieren. Es darf halt mal wieder nix kosten und Zeit darf es auch nicht brauchen.
Aber danke für die Info.
Gruss
Einfach mal Windowsupdate laufen lassen ist wohl auch nicht so einfach möglich:
http://blogs.msdn.com/b/embedded/archive/2007/04/04/why-can-t-i-use-win ...
Ich würde ja die XPe Systeme ersetzen. Geht aber wegen kosten nicht. Das einzige was möglich wäre die bezüglich des Trojaner bekannten Updates einpielen, schauen, ob an der Maschine noch Infektionen auftreten und dann ausrollen.
Alternativ wäre irgendein Linuxoides Thinclientsystem auf den Maschinen zu installieren. Es darf halt mal wieder nix kosten und Zeit darf es auch nicht brauchen.
Aber danke für die Info.
Gruss